Digitale Selbstbestimmung für Berlin und ganz Deutschland

Es ist an der Zeit, die digitale Souveränität in Deutschland und Europa zu erhöhen. Nur so lässt sich ein hohes Niveau an Cybersicherheit aufrechterhalten. Das sagt Prof. Dr. Claudia Eckert, Institutsleiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC und Mitglied der Wissenschaftlichen Arbeitsgruppe "Nationaler Cyber-Sicherheitsrat". Das Fraunhofer AISEC betreibt auch von seinem Berliner Standort aus Spitzenforschung und ist somit wichtiger Innovationstreiber für digitale Transformationsprozesse. 

Wir haben ein Gespräch mit Prof. Dr. Claudia Eckert geführt. Im Fokus: die digitale Souveränität als Dreh- und Angelpunkt der technologischen Entwicklung, fünf entscheidende Schlüsselbereiche und, was jetzt dafür getan werden muss.

Prof. Eckert, warum steht digitale Souveränität ganz oben auf Ihrer Agenda?

Die Digitalisierung durchdringt und vernetzt zunehmend sämtliche Lebensbereiche. Auch kritische Infrastrukturen werden in Zukunft nicht mehr ohne Netzwerkkomponenten, Cloud-Infrastrukturen oder Systeme der Künstlichen Intelligenz (KI) auskommen. Gleichzeitig werden Deutschland und Europa nicht in der Lage sein, die steigende Zahl dafür notwendiger Komponenten selbst herzustellen. Die bereits schon jetzt hohe Abhängigkeit von internationalen Technologieanbietern wird weiter zunehmen. Es droht der Verlust der Kontrolle über die Sicherheit, Vertraulichkeit und Integrität der Informationstechnik.

Dies kann nur verhindert werden, indem Deutschland und Europa ihre digitale Souveränität sichern, festigen und kontinuierlich ausbauen. Digitale Souveränität bedeutet, die Digitalisierung selbstbestimmt und unabhängig von der Einflussnahme Dritter gestalten zu können. Nur so kann ein hohes Niveau an Cybersicherheit aufrechterhalten werden. Dabei steht vor allem die Souveränität von fünf technologischen Schlüsselbereichen im Fokus: kritische Hardwarekomponenten, Dateninfrastrukturen, sicherheitskritische Netzkomponenten, kritische KI-Systeme und Zukunftstechnologien.

Was sind die Herausforderungen in den einzelnen Bereichen und was ist jeweils für mehr digitale Souveränität zu tun?

Kritische Hardwarekomponenten, also CPUs, Systems-on-Chips, Sensoren oder Speicher haben in jedem informationsverarbeitenden System wichtige Aufgaben, die sowohl die Safety als auch die Security betreffen. Schwachstellen dort können jegliche Software-Sicherheitsmaßnahmen außer Kraft setzen. Weltweit dominieren nur wenige nicht-europäische Hersteller den Markt. Das steht nachvollziehbaren, überprüfbaren Sicherheitseigenschaften entgegen.

Wesentliche Voraussetzung für die digitale Souveränität in diesem Bereich ist aber nicht nur die Herstellung sicherer Hardware, sondern auch abgesicherte Entwicklungs-, Liefer- und Fertigungsketten. Entscheidend für die Vertrauenswürdigkeit ist es, einheitliche, prüfbare Rahmenvorgaben für Entwicklungs- und Produktionsschritte festzulegen und Werkzeuge bzw. Prüfmethoden zu entwickeln, um kontinuierlich und lückenlos die Einhaltung der Vorgaben kontrollieren zu können. Es existieren vielversprechende neue Ansätze, z. B. die Open-Source-Entwicklung von Hardware auf Basis von RISC-V, die bereits mittelfristig zur Verfügung stehen könnte. Open-Source-Krypto-Bibliotheken bzw. Betriebssysteme und Hardware, die auf Open Source basieren, könnten – zusammen mit den angesprochenen Test- und Analyseverfahren – zur Grundlage von cybersicheren Systemen werden.

Welche Problematik ergibt sich bei Dateninfrastrukturen und wie kann gegengesteuert werden?

Auch im Bereich der Dateninfrastrukturen wird der Markt von einigen wenigen, nicht-europäischen Anbietern beherrscht, die riesige Serverfarmen betreiben und die unterschiedlichen gesetzlichen Vorgaben ihrer jeweiligen Heimländer, wie z. B. dem "Cloud-Act", unterliegen. Hoheitliche Behörden und Unternehmen aus Deutschland und Europa setzen sich dem Risiko aus, dass ihre Daten von den Cloud-Plattformen in unberechtigte Hände gelangen – u. a. aufgrund der genannten gesetzlichen Vorgaben – wenn sie die
Plattformen für sicherheitskritische Abläufe nutzen. Es droht der Verlust der Kontrolle über die Weitergabe und Nutzung der Daten sowie hohe Abhängigkeiten bezüglich der Datenmigration. Das beeinträchtigt massiv die Teilhabe der deutschen und europäischen
Wirtschaft an den Möglichkeiten der Digitalisierung. Gleichzeitig ist es ökonomisch nicht leistbar, dass Deutschland und Europa eine eigene, von Grund auf neue, Infrastruktur aufbauen.

Abhilfe könnte hier die Initiative "GAIA-X" schaffen, die Cloud-Plattformen zu vertrauenswürdigen Cloud-Netzwerken verbindet, in die verschiedene, bereits bestehende Clouds eingebunden werden können. Um Vertrauen in ein solches vernetztes Angebot zu schaffen, ist es aber unabdingbar, dass die einzubindenden Cloud-Plattformen die Einhaltung von Vorgaben, die durch "GAIA-X" zu definieren sind, nachweisen. Die Nachweise müssen durch Dritte nachvollziehbar oder direkt durch dazu akkreditierte, vertrauenswürdige Dritte im Sinne einer Zertifizierung durchgeführt werden.

Ist die Situation bei sicherheitskritischen Netzkomponenten ähnlich?

Netzkomponenten für den 5G-Ausbau werden ebenfalls größtenteils von nicht-europäischen Anbietern bereitgestellt. Das ist insofern ein Problem, da diese Komponenten zukünftig tief in bestehende Unternehmensinfrastrukturen integriert werden und sehr viel mehr unternehmenskritisches Datenmaterial verarbeiten, als bisher. Der Betrieb der Infrastrukturen hängt deshalb in noch höherem Maße von der Verfügbarkeit und Vertrauenswürdigkeit der genutzten Technologien ab.

Um die technologischen Abhängigkeiten in diesem Bereich zu reduzieren, müssen Deutschland und Europa massiv in den Auf- und Ausbau von Prüf-, Evaluierungs- und Zertifizierungsangeboten investieren. Bestehende Forschungslabore sollten noch intensiver
an neuen Methoden forschen, um noch effektiver mögliche Verwundbarkeiten – seien sie absichtlich oder unabsichtlich in Komponenten integriert – mit hoher Zuverlässigkeit und hohem Automatisierungsgrad zu erkennen.

Gleichzeitig nimmt auch die Bedeutung von KI-Systemen immer mehr zu. Was muss hier für mehr digitale Souveränität getan werden?

Maschinelles Lernen (ML) und KI sind bereits heute zentraler Baustein in vielen IT-Infrastrukturen. Immer häufiger sind die Ergebnisse von KI-Systemen die Basis unternehmerischer Entscheidungen. Dabei können gefährliche Abhängigkeiten entstehen, die unternehmerisches Handeln infrage stellen. Denn oft sind die Ergebnisse der ML-Verfahren und auch die Qualität der Trainingsdaten nicht nachprüfbar bzw. nicht nachvollziehbar.

Das ist darin begründet, dass es aktuell noch keine etablierten Zertifizierungs- und Prüfverfahren für KI-Systeme gibt. Für den Standort Deutschland bzw. Europa erwächst hieraus die Chance, Vorreiter zu sein und die erforderlichen Standards mit zu erarbeiten.

Prof. Eckert, Sie leiten ein Institut für angewandte Forschung und beschäftigen sich mit Technologien, die in Zukunft bedeutsam werden. Welche Herausforderungen kommen hier auf uns zu?

Nur, wer zukünftige Gefahren frühzeitig erkennt, kann rechtzeitig mögliche Gegenmaßnahmen in die Wege leiten, um technologisch souverän zu bleiben. Eine dieser Entwicklungen ist das "Quantencomputing (QC)". Zwar können zukünftige leistungsfähige Quantenrechner viele Problemstellungen lösen, die mit Hochleistungsrechnern auch in Zukunft nicht berechnet werden können. Gleichzeitig ergibt sich durch das QC eine völlig neue Bedrohungslage für die Cybersicherheit, wie wir sie heute weltweit praktizieren.

Plakativ kann man sagen, dass eine der beiden heute flächendeckend eingesetzten Klassen an Verschlüsselungsverfahren, das so genannte Public-Key-Verfahren, unsicher wird. Mit diesem Verfahren werden Kommunikationsverbindungen gesichert, Messenger-Nachrichten und E-Mails geschützt, und es ist die Basis von weitverbreiteten Techniken, um Nutzer zu identifizieren.

Weltweit wurden deshalb in den letzten Jahren Forschungsprogramme zur Erforschung der Post-Quanten-Kryptografie gestartet. Es gilt, neue Verschlüsselungsverfahren zu entwickeln und in zukünftigen Systemen zu nutzen, sodass diese auch dann sicher sind, wenn Quanten-Computer mit genügend Rechenkraft bereitstehen.

Wie kann die Post-Quanten-Kryptografie gelingen?

Ziel ist es, dass es nicht möglich sein kann, effiziente QC-Verfahren zum Knacken von Schlüsseln für diese neue Klasse an Post-Quanten-Kryptografie zu finden. Mittels sehr spezieller Techniken, die die physikalischen Eigenschaften der Quantenphysik ausnutzen, ist es zudem heute schon möglich, kryptografische Schlüssel hoch sicher zwischen zwei optisch verbundenen Endpunkten so auszutauschen, dass diese Kommunikation nicht abgehört werden kann. Dies ist unter dem Namen "Quanten Key Distribution (QKD)" bekannt. Diese sichere Basis muss dann in einem vertrauenswürdigen konventionellen System, mit Servern, Laptops oder auch Routern so nutzbar gemacht werden, dass die sehr hohe Sicherheit der ausgetauschten Schlüssel nicht durch die Einbringung in unsichere Systeme zerstört wird. Auch im Themenfeld QKD sind noch viele Forschungs- und Entwicklungsfragen offen und müssen dringend weiter vorangetrieben werden.

Gibt es weitere Entwicklungen, die ebenso bedeutend für die digitale Souveränität sind?

Neben QC sollten auch andere technologische Entwicklungen im Auge behalten werden. So ist es z. B. sinnvoll, bereits jetzt massiv in die Aufbauarbeiten des nächsten Mobilfunkstandards 6G zu investieren. Er wird in acht bis zehn Jahren auf breiter Ebene zum Einsatz kommen. Auch hier könnten Deutschland und Europa Vorreiter sein.

Reichen diese Maßnahmen aus, um das gewünschte Niveau an digitaler Souveränität in Deutschland und Europa zu sichern bzw. zu erhalten?

Nein. Neben Maßnahmen in den fünf beschriebenen Schlüsselbereichen sind weitere Anstrengungen notwendig, um die digitale Souveränität in Deutschland und Europa zu sichern, zu festigen und kontinuierlich auszubauen. Hier sind insbesondere fünf weitere Punkte zu nennen: Erstens, müssen die Ergebnisse aus der Cybersicherheitsforschung noch schneller in die Anwendung gelangen. Zweitens, muss Sicherheit zum integralen Bestandteil aller Phasen eines Produktlebenszyklus werden: vom Design, über die Auslieferung und den sicheren Betrieb bis hin zur sicheren Außerbetriebnahme. Zuverlässigkeit, Vertrauenswürdigkeit und Korrektheit von Sicherheitslösungen werden immer mehr zu wirtschaftlichen Qualitätsfaktoren. Deswegen muss, drittens, deren Prüfung ausgebaut werden. Viertens, muss der durchgehende Einsatz von kryptografischen Verfahren in Deutschland und Europa zum Regelfall werden. Und schließlich müssen, fünftens, Informationstechnik und Cybersicherheit auf der Agenda von Bildung und Forschung noch weiter nach oben rücken. Um die zukünftigen Herausforderungen zu bewältigen, brauchen wir noch mehr Fachkräfte in diesem Bereich.

Vielen Dank, Prof. Eckert. Wir danken Ihnen für das Gespräch.

Über Prof. Dr. Claudia Eckert

Prof. Dr. Claudia Eckert ist geschäftsführende Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC in München und Professorin der Technischen Universität München, wo sie den Lehrstuhl für IT-Sicherheit in der Fakultät für Informatik innehat. Zu ihren Forschungsschwerpunkten zählen die Entwicklung von Technologien zur Erhöhung der System- und Anwendungs-Sicherheit, die Sicherheit eingebetteter Systeme und die Erforschung neuer Techniken zur Erhöhung der Resilienz und Robustheit von Systemen gegen Angriffe. Ihre Forschungsergebnisse wurden in über 160 begutachteten Fachbeiträgen veröffentlicht. Als Mitglied verschiedener nationaler und internationaler industrieller Beiräte und wissenschaftlicher Gremien berät sie Unternehmen,
Wirtschaftsverbände sowie die öffentliche Hand in allen Fragen der IT-Sicherheit. In Fachgremien wirkt sie mit an der Gestaltung der technischen und wissenschaftlichen Rahmenbedingungen in Deutschland sowie an der Ausgestaltung von wissenschaftlichen Förderprogrammen auf EU-Ebene.

Über das Fraunhofer AISEC

Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC ist eine der international führenden Einrichtungen für angewandte Forschung im Bereich Cybersicherheit. Mehr als 120 hochqualifizierte Mitarbeiterinnen und Mitarbeiter arbeiten an maßgeschneiderten Sicherheitskonzepten und -Lösungen für Wirtschaftsunternehmen und den öffentlichen Sektor, mit dem Ziel, die Wettbewerbsfähigkeit von Kund*innen und Partner*innen zu verbessern. Dazu zählen Lösungen für eine höhere Datensicherheit sowie für einen wirksamen Schutz vor Cyberkriminalität wie Wirtschaftsspionage und Sabotageangriffe. Das Kompetenzspektrum erstreckt sich von Embedded und Hardware Security, über Automotive und Mobile Security bis hin zu Sicherheitslösungen für Industrie und Automation. Zudem bietet das Fraunhofer AISEC in seinen modernen Testlaboren die Möglichkeit zur Evaluation der Sicherheit von vernetzten und eingebetteten Systemen, von Hard- und Software-Produkten sowie von Web-basierten Diensten und Cloud-Angeboten.